-
Junior Member
- Вес репутации
- 47
помогите избавится от вирусов : 06.exe - win32:Kruptik-DCG(trj) ,13.exe - win32:Kruptik-DCG(trj)
Здравствуйте .
Помогите избавится от вирусов : 06.exe - win32:Kruptik-DCG(trj),
13.exe - win32:Kruptik-DCG(trj) , 60.exe - win32:Kruptik-DCG(trj) ,
hnm5.exe - Win32:Malware-gen, acleaner.exe - Kruptik-DCG(trj),
В процессе работы Аваст переодически блокирует эти угрозы и
перемещает их в карантин . После удаления из карантина они
появляются снова. Полное сканирование антивирусом Аваст и
утилитой Dr.Web CureIt не помогает .
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) -kostya-, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\System32\06.exe','');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Window DLL Service');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 47
hedgars Сделал новые логи как вы просили.
-
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\34.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\34.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
-
Junior Member
- Вес репутации
- 47
thyrex . лог полного сканирования МВАМ
-
Удалите в MBAM:
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Window DLL Service (Backdoor.Agent) -> Value: Window DLL Service -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
Зараженные папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Зараженные файлы:
c:\WINDOWS\system32\05.exe (Backdoor.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 47
hedgars. повторный лог MBAM.
-
Чисто.
Что с проблемой?
Установите:
-Internet Explorer 8.
-
-
Junior Member
- Вес репутации
- 47
hedgars . Похоже проблема устранена .Аваст угроз не выдаёт уже около 2 часов .
Спасибо Вам огромное за помощь.Если можно ещё пару вопросов задать Вам ,как специалисту : 1 Аваст последнее время, постоянно блокирует вредоносный URL адрес
объект 31.184.237.43/dlms.exe , какие меры предпринять?
2 Чем можно просканировать внешний жёсткий диск , чтобы снова не заразить комп вирусами при подключении? Подозреваю что они там тоже есть.
-
Сообщение от
-kostya-
какие меры предпринять?
После удаления зловредов окно перестало выскакивать?
Если нет, обновите систему здесь+установите новый IE.
Сообщение от
-kostya-
ем можно просканировать внешний жёсткий диск , чтобы снова не заразить комп вирусами при подключении?
Антивирусом. Только перед подключением выполните скрипт в AVZ:
Код:
procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
begin
DisableAutorun;
end.
Это отключит автозапуск со съемных устройств.
-
-
Junior Member
- Вес репутации
- 47
hedgars добрый день. Сегодня просканировал комп , MBAM обнаружил вирусы снова.
-
- удалите в MBAM все найденное
Обновите систему
- Поставте все последние обновления системы Windows - тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 42
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\jodrive32.exe - Backdoor.Win32.Floder.it ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\06.exe - Worm.Win32.AutoRun.clfy ( DrWEB: BackDoor.IRC.Bot.1667, BitDefender: Trojan.Generic.6759346, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\13.exe - Worm.Win32.AutoRun.clfy ( DrWEB: BackDoor.IRC.Bot.1667, BitDefender: Trojan.Generic.6759346, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\21.exe - Backdoor.Win32.Floder.it ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\28.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\31.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\33.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\34.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\43.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\47.exe - Backdoor.Win32.Floder.is ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\60.exe - Backdoor.Win32.Floder.it ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\70.exe - Backdoor.Win32.Floder.it ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, AVAST4: Win32:Malware-gen )
-